Revisão dos eventos de segurança DeFi de 2022

Autor: Um especialista em segurança Web3

Recentemente, um especialista em segurança experiente compartilhou uma aula sobre segurança DeFi com os membros da comunidade. O especialista revisitou os principais eventos de segurança que ocorreram na indústria Web3 em 2022, discutiu as causas e medidas preventivas dessas ocorrências, resumiu as vulnerabilidades de segurança comuns em contratos inteligentes e forneceu recomendações de segurança para os projetos e usuários.

Segundo estatísticas, em 2022 ocorreram mais de 300 incidentes de segurança em blockchain, envolvendo um montante que chegou a 4,3 bilhões de dólares.

Este artigo apresentará detalhadamente 8 casos típicos, dos quais a maioria teve perdas superiores a 100 milhões de dólares, sendo que a Ankr, apesar de ter uma perda relativamente menor, também é bastante representativa.

Evento Ronin Bridge

Em março de 2022, a sidechain Ronin Network do Axie Infinity foi invadida, resultando na perda de 173.600 ETH e 25,5 milhões de dólares.

Os atacantes conseguiram obter a confiança dos funcionários através de engenharia social, instalaram malware e, no final, controlaram 4 dos 5 nós de validação, realizando o ataque. Isso expôs problemas na consciência de segurança interna da empresa e na gestão.

Evento Wormhole

O código de verificação do contrato da ponte cross-chain Wormhole no lado Solana possui uma vulnerabilidade, permitindo que atacantes falsifiquem a mensagem “guardião” e mintem 120.000 ETH.

Isto deve-se principalmente ao uso de algumas funções que foram descontinuadas. Recomenda-se aos desenvolvedores que utilizem a versão mais recente, para evitar problemas semelhantes.

Evento Nomad Bridge

Durante a inicialização do contrato Replica da ponte cross-chain Nomad, a raiz confiável foi definida como 0x0 e a antiga raiz não foi invalidada, permitindo que um atacante construísse mensagens arbitrárias para roubar fundos, resultando em uma perda de cerca de 190 milhões de dólares.

Este caso típico demonstra que problemas na configuração inicial podem ter consequências graves. Quando se descobre que transações válidas podem ser executadas repetidamente, muitos participantes vêm para disputar os fundos, que acabam por se transformar em uma “batalha pela dinheiro”.

Evento Beanstalk

O projeto de stablecoin algorítmica Beanstalk sofreu um ataque de empréstimo relâmpago, resultando em uma perda de cerca de 182 milhões de dólares.

Os atacantes exploram vulnerabilidades nos mecanismos do projeto, obtendo grandes quantidades de tokens através de empréstimos relâmpago para aprovar propostas maliciosas e executá-las imediatamente. Isso expõe alguns problemas da governança totalmente descentralizada, como a revisão de propostas, mecanismos de votação e bloqueios de tempo, que precisam ser projetados com cuidado.

Evento Wintermute

A empresa de market making Wintermute utilizou uma ferramenta de geração de nomes chamada Profanity, que apresentava vulnerabilidades, resultando no comprometimento da chave privada do proprietário do contrato e na transferência de fundos.

Isto nos lembra que devemos avaliar plenamente os riscos de segurança ao usar ferramentas de código aberto.

Evento Harmony Bridge

A ponte cross-chain Horizon da Harmony perdeu mais de 100 milhões de dólares, supostamente causada por um grupo de hackers da Coreia do Norte. O método de ataque pode ser semelhante ao incidente da Ronin Bridge.

Evento Ankr

Ankr enfrentou ações maliciosas de funcionários internos, resultando na criação e venda em massa de tokens, o que desencadeou uma reação em cadeia.

Isso expõe sérios problemas na gestão de permissões internas do projeto e no sistema de segurança.

Evento Mango

O atacante lucrou na plataforma de contratos perpétuos manipulando o preço da criptomoeda MNGO e emprestando uma grande quantidade de fundos.

Isto reflete que alguns projetos de Finanças Descentralizadas têm falhas no seu modelo de negócio. As equipas dos projetos precisam de testar exaustivamente vários cenários extremos, e os usuários também devem se preocupar com a segurança do capital e não apenas com os lucros.